Pmonline.ru

Пром Онлайн
2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Методы взлома паролей

Методы взлома паролей

Методы взлома паролей

Я хочу рассмотреть самые часто встречающиеся методы взлома или кражи паролей с тем, чтобы вы понимали зачем необходимо придумывать сложный пароль и почему нельзя делать пароль из осмысленного слова или из одних цифр.

Заявления о том, что необходимо периодически менять пароли и желательно делать их подлиннеее и посложнее слышали все, но многие пользователи упорно игнорируют эти советы. Для того чтобы аргументировать мои рекомендации по подбору сложных паролей и предотвращению использования вами самых простых паролей, облегчающих взлом аккаунта в Интернет, я и пишу этот обзор.

Логическое угадывание

Самый просто способ подобрать пароль — это логически догадаться. Этим способом пользуются в тех случаях, когда злоумышленнику что-либо известно о пользователе. Например Его имя, дата рождения или просто логин. Очень часто пользователи создают пароли совпадающие с логином, поэтому такой пароль угадывается за несколько секунд. Если пароль состоит из фамилии и года рождения, то взломать такой пароль также не составит труда.

Перебор паролей по словарю

Этот метод применяется, если пользователь позаботился о том, чтобы его пароль не был очевиден. Так как пользователи стремятся сделать пароли запоминающимися для себя, то чаще всего в качестве пароля используется какое-то общеупотребительное слово, известное название, имя или сочетание цифр. Существуют специальные словари на всех языках, которые включают в себя списки известных слов и названий, часто используемые в качестве паролей. Такой метод, как правило, занимает несколько часов.

Метод грубой силы

Метод грубой силы (brute force) также называют прямым или полным перебором. Этот метод включает в себя перебор всех возможных вариантов и сочетаний букв, цифр, а иногда и спецсимволов. Скорость подбора в данном случае будет зависеть от количества символов в пароле. К примеру, если пароле будут использованы только буквы одного регистра с цифрами и скорость перебора составляет 100000 паролей за одну секунду, то скорость подбора такого пароля будет соответствовать приведенной таблице.

Количество знаковКоличество вариантовВремя перебора
136менее секунды
21296менее секунды
346 656менее секунды
41 679 61617 секунд
560 466 17610 минут
62 176 782 3366 часов
778 364 164 0969 дней
82,821 109 991 01211 месяцев
91,015 599 531 01432 года
103,656 158 471 0151 162 года
111,316 217 041 01741 823 года
124,738 381 381 0181 505 615 лет

Из этой таблицы очевидно, что пароль должен состоять как минимум из 6 символов (лучше из 8), и иметь в своем составе спецсимволы и буквы разного регистра.

Использование человеческого фактора

Использование человеческого фактора как способ получения пароля пользуется огромной популярностью. К этому способу относят заражение компьютера троянами и кейлогерами, которые крадут пароли с компьютера пользователя и высылают злоумышленникам. Основным же спобом получения пароля при использовании человеческого фактора является вынуждение пользователя сказать пароль самостоятельно, для этого используют различные мошеннические схемы, делаются сайты-дубликаты популярных соцсетей, высылаются письма, похожие на сообщения вашего банка и т.д.

Надеюсь этих кратких пояснений достаточно для того, чтобы мотивировать вас создавать сложные пароли.

Учебные материалы для студентов

Методические указания, конспекты, лекции, контрольные, лабораторные работы, курсовые.

Информационная безопасность. Тест

Укажите основные свойства VPN

Создает туннель, т.е. защищённый канал передачи данных

Использует шифрование данных

Реализуется в незащищенных или слабо защищенных сетях

Каковы функциональные возможности программы Retina WiFi Scanner

Вычисляет WEP-ключи методом brute force

Обнаруживает IP-адреса и другую сетевую информацию

Обнаруживает неавторизованные беспроводные устройства

64- и 128-битное WEP-шифрование трафика на основе RC4 обеспечивает уровень безопасности

Отметьте потенциально опасные с точки зрения утечек внутренней информации действия

Размещение серверов в стороннем дата-центре

Хранение носителей вне офиса

Сервисный ремонт серверов или жестких дисков

Перевозка компьютеров или носителей

Перебор всех слов языка для взлома пароля это

Читайте так же:
Включить javascript в настройках вашего браузера

атака Brute Force

Какого типа БД является реестр

IDS — это

система обнаружения вторжений

Какие режимы работы имеет программа Iris

Используется ли VPN для защиты беспроводных сетей

Какие дополнительные меры обеспечения безопасности могут использоваться в беспроводных сетях

Использование IPSec для защиты трафика

Защита беспроводного сегмента с помощью L2TP

Выделение беспроводной сети в отдельный сегмент

Инсайдер — это

член какой-либо группы людей, имеющий доступ к секретной, скрытой или какой-либо другой закрытой информации или знаниями, недоступной широкой публике

Сколько root key содержит реестр Windows

Решение DeviceLock является

Cпособ построения одноранговых Wi-Fi сетей называется

Какие решения применяются для контроля доступа к внешним устройствам

Компьютер проверяет 10 млн. паролей в секудну. Сколько примерно времени ему потребуется, чтобы проверить методом словарной атаки все пароли для языка, содержащего 1 млн слов

Сколько групп символов должен минимально содержать надежный пароль

Тонкий клиент — это

Бездисковый компьютер-клиент в сетях с клиент-серверной или терминальной архитектурой, который переносит все или большую часть задач по обработке информации на сервер

Запрет широковещательной передачи идентификатора SSID обеспечивает уровень безопасности

В какой блок файла autorun.inf обычно прописываются вредоносные программы

Каково количество популярных паролей, которые остаются неизменными в течение последних 15 лет

Технология OpenVPN предназначена для

Какой протокол VPN используется для создания защищенного сегмента локальной сети

DLP (Data Leak Prevention) система защищает от

утечек конфиденциальной информации из информационной системы вовне

Что позволяет выполнять программа Process Monitor

Отслеживать сетевую активность процесса

Отслеживать обращение процесса к реестру

Отслеживать работу процесса с файлами

Необходимы ли криптографические ключи для создания VPN-тоннеля

?Аутентификация беспроводного клиента по MAC-адресу обеспечивает уровень безопасности

IPS — это

Система предотвращения вторжений — программная или аппаратная система сетевой и компьютерной безопасности, обнаруживающая вторжения или нарушения безопасности и автоматически защищающая от них.

Тонкий клиент использует

WPA2-шифрование трафика обеспечивает уровень безопасности

Сколько вариантов нужно проверить для поиска 8-значного пароля методом Brute Force если предположить что на клавиатуре 120 отображаемых символов

Верно ли утверждение, что длинный пароль всегда труднее запомнить, чем короткий

При возврате к сохраненной точке восстановления

содержимое реестра восстанавливается в сохраненному значению

Полный перебор всех символов 8-значного пароля это

атака Brute Force

Заплатка реестра это

текстовый файл с определенной структурой и расширением .reg

Используется ли VPN для создания защищенного сегмента локальной сети

Технология GET VPN предназначена для

Протокол расчета контрольной суммы пакетов беспроводной связи называется

Хот-спот — это

Территория покрытия сигнала

Используется ли VPN для связи мобильного сотрудника с корпоративной сетью

Можно ли применить заплатку реестра в командной строке

Интегрировано ли решение DeviceLock с Active Directory

Как можно защититься от программ типа Iris

SSID это

Идентификатор беспроводного устройства

Позволяет ли DeviceLock контролировать FireWire-порты

Используется ли VPN для обеспечения выхода в Интернет по защищенному каналу

К какому классу программ относится программа Iris

Используется ли VPN для компьютерных игр через интернет

Компьютер проверяет 10 млн. паролей в секудну. Сколько примерно времени ему потребуется, чтобы проверить методом Brute Force все 8-значные пароли для 120-символьного алфавита

Какова минимальная длина безопасного пароля, состоящего из одних только строчных

английских букв

В каких форматах могут отображаться отчёты программы Retina WiFi Scanner

HTML, XML, текстовый

Какие корневые ключи входят в реестр

HKCR, HKCU, HKLM, HKU, HKCC

Какой протокол является основным для организации защищенного сеанса связи с web-сервером

Основным недостатком стандартных маршрутизаторов CISCO является

Возможно ли отключить автозапуск autorun.inf внешних носителей через групповую политику

Сколько вариантов нужно проверить для поиска 8-значного цифрового пароля методом

Brute Force

Укажите основные каналы утечек внутренней информации

физический доступ к оборудованию и носителям,

мобильные носители информации

Укажите наилучший метод хранения паролей в ИС

Метод хеширования паролей

Протокол управления ключами беспроводной связи называется

Читайте так же:
В какой программе лучше делать таблицы

В каком корневом разделе находятся ключи, позволяющие отключить автозапуск файла

autorun.inf

Существует ли понятие ТОЛСТЫЙ КЛИЕНТ ?

Технология OpenVPN предназначена для создания виртуальной частной сети

частынх сетей
малых сетей

IDS — это

Intrusion Detection System
Система обнаружения вторжений
Система обнаружения вторжений (СОВ) — программное или аппаратное средство, предназначенное для выявления фактов неавторизованного доступа в компьютерную систему или сеть либо несанкционированного управления ими в основном через Интернет.

Тонкий клиент использует

использует специализированную локальную ОС, не имеет жёсткого диска, не имеет в своём составе подвижных деталей, выполняется в специализированных корпусах с полностью пассивным охлаждением.

Пароли для профессионалов

Данная статья есть попытка собрать на одной страничке все самое главное об особенностях паролей, их применении, выборе, хранении. О многом здесь можно расписывать подробнее, но врядли стоит. Опыта каждый все равно набирается сам, а вехи "где копать" здесь как раз и обозначены.

Вещи, которые все знают, но не всегда вспоминают

Пароль — это просто набор символов. Чаще всего у системы нет другого способа узнать вас, кроме как по паролю. Значит кто угодно может ввести правильный пароль и получит соответствующие полномочия.

Пароль может быть узнан, угадан или подобран. Добавьте возможность в некоторых случаях обойти систему защиты из-за слабостей примененного алгоритма, ошибок в реализации, backdoor’ов и получите полный список того чего следует опасаться.

Например, пароли на отшаренные ресурсы в Windows-9x можно было подбирать посимвольно! Надо ли объяснять как это упрощало их подбор злоумышленником?

От слабостей алгоритма и ошибок програмного обеспечения вариантов защиты только два. Если есть исправляющий положение патч — ставить, если его нет — не пользоваться слабой системой. Есть очень редкий третий вариант, когда исходники открыты и вы в состоянии сами написать такой патч. Те кто это может, обычно не нуждаются в напоминании связаться с авторами, чтобы исправления были внесены в репозитарий разработки.

С течением времени ясно прослеживается тенденция к тому, что дыр становится все меньше. Сегодня взломы из-за плохо выбранного или плохо сохраняемого в тайне пароля происходят намного чаще чем из-за неправильной конфигурации или ошибок програмного обеспечения.

Вот три способа ломать парольную защиту, когда ее нельзя обойти, воспользовавшись несовершенством системы. Именно в этих трех направлениях нужно думать, выбирая и храня пароль. А также читая дальше эту статью. Здесь все зависит не от далеких разработчиков, а от пользователя. От нас. От вас.

Длина имеет значение

Две главных характеристики пароля — количество символов (длина) и количество вариантов символа в каждой позиции (алфавит).

Как известно из комбинаторики общее количество возможных паролей при заданной длине(L) и алфавите(A) вычисляется как (A**L). A в степени L. Время(T) за которое пароль заданной длины будет гарантированно подобран методом Грубой силы меньше или равно (A**L)/V, где V — скорость перебора. Итак, мы можем записать T<=(A**L)/V. Эту формулу обычно называют формулой Андерсона. Следующая таблица вычислена по этой формуле и наглядно демонстрирует зависимости указанных величин.

Время полного перебора всех возможных паролей заданного алфавита при скорости перебора 10,000,000 паролей в секунду

алфавит6 символов8 символов10 символов12 символов
26 (латиница все маленькие или все большие)31 сек5 часов 50 мин163.5 суток303 года
52 (латиница с переменным регистром)33 мин62 суток458 лет1,239,463 года
62 (латиница разного регистра плюс цифры)95 мин252 суток 17 часов2,661 год10,230,425 лет
68 (латиница разного регистра плюс цифры плюс знаки препинания .,;. )2 часа 45 мин529 суток6703 года30,995,621 лет

80 (латиница разного регистра плюс цифры плюс знаки препинания .,;. плюс скобки а алфавите 80 (все символы плюс не буквенно-цифровые) будут перебраны за 5 лет и 4 месяца. В то же время все варианты 10 символьного пароля на алфавите "только буквы", будут перебираться без малого в сто раз дольше — 458 лет. Если добавить цифры, то и вовсе 2,661 год.

Можно сделать вывод что, как и ожидалось от степенной, быстрорастущей функции, увеличение длины пароля всего на 2 символа дает в 500 раз (2661/5.32) больше вариантов, чем увеличение алфавита на 18 символов (с 62 до 80).

Если вы внимательно ознакомитесь с краткой таблицей заповедей по выбору пароля, то заметите, что в ней нет обычной рекомендации использовать символы кроме больших и малых латинских букв и цифр. Я советую создавать более длинные пароли, чем включать в них спецсимволы. Такие как . ;()[]<>#$%

Действительно "как правило" спецсимволы в пароле не доставляют хлопот. По крайней мере программисту. Пароль пожалуй единственная, введенная пользователем информация, которую программисты веб-сервисов могут не фильтровать на наличие нежелательных символов. Весь остальной пользовательский ввод обязан фильтроваться. Об этом уже столько раз говорилось, что хочется попросить прощения за повторение.

Я предпочитаю сделать пароль чуть длиннее, и при этом на "нормальном" парольном алфавите — 62 символа. Почему? Пароли не стоит произносить, но произносимость влияет на запоминаемость. А спецсимволы произносимость снижают.

Кроме того бывает что мы в жизни попадаем на нестандартные клавиатуры. Сколько времени понадобиться юзеру, чтобы найти где точка на французской клавиатуре? Считайте что все кто это видит тут же приметят в какой позиции у него точка. В этом случае фактически длина пароля сократится на один символ! А как показывают расчеты лучше "потерять" кусок алфавита, чем сократить длину пароля.

Очень важно отметить что привычное место знака равно в указанной формуле по праву занимает оценка меньше или равно. Предположим злоумышленник как-либо узнал, что ваш пароль 9 символов в длину, и собирается последовательно перебрать все комбинации: aaaaaaaaa, aaaaaaaab, aaaaaaaac и так далее до zzzzzzzzz. Что будет если ваш пароль действительно aaaaaaaaa? Он найдется сходу! Не надо думать что в таком случае самый выгодный пароль zzzzzzzzz, так как он будет попробован последним. Алгоритм подбора легко изменить и возможно злоумышленник как раз начнет с конца.

Он может начать и с середины. Точек старта может быть много, если вычисление будет вестись на многопроцессорной системе или кластере в несколько потоков. Поэтому каждый символ пароля следует выбирать случайным образом и надеяться, что он окажется достаточно далеко от точки старта алгоритма перебора. Помните, время в указанной формуле обычно всегда меньше вычисленного в правой части. Вычисленное есть время гарантированного нахождения пароля. За это время будут перебраны все возможные комбинации.

Скорость перебора

Скорость перебора может сильно различаться для разных случаев. Об этом будет сказано подробнее ниже в разделе, посвященном местам применения паролей. Не буду приводить аналогичные таблицы для других скоростей. Так как зависимость линейная каждый может легко пересчитать указанные времена на свою скорость.

Например в случае если скорость перебора 1,000 паролей в секунду времена в таблице надо умножить на 10,000. Если скорость перебора 15 млн. паролей в секунду, указанные времена нужно поделить на 1.5. К счастью скорости перебора в 100 млн. паролей в секунду на сегодняшнем оборудовании не встречаются. Так что сокращение максимального время нахождения пароля на порядок от указанного в таблице уже невозможно.

"К счастью" потому что все-таки парольные системы призваны защищать. Такие большие времена взлома будут вам очень не к счастью если вы забудете пароль к собственным данным.

Если злоумышленник не может предположить длину вашего пароля и вынужден будет перебирать все варианты паролей длиной скажем от 5 до 8 символов, то время такого полного перебора очевидно может быть оценено как сумма времен перебора 5-ти, 6-ти, 7-ми, и 8-ми символьных паролей. Из таблицы времен видно, что главное слагаемое в этом ряду — время перебора паролей максимальной выбранной длины. Остальные слагаемые иногда пренебрежимо малы.

Если вы сами окажетесь в роли злоумышленника, например забыв стойкий пароль на собственный архив, то затратив 252 суток и 17 часов на перебор всех 8 символьных паролей, вы без труда потратите еще 95 минут, на перебор всех 6 символьных. Кстати ситуация вполне реальна. На Zip архивах последних версий нет возможности обойти шифрование, а скорость полного перебора как раз 10 — 15 млн. паролей в секунду. 250 дней на восстановление забытого пароля. Не дай вам бог забыть стойкий пароль. А не стойкие вы не должны использовать.

Генераторы паролей, запоминаемых и нет

Не стоит забывать и о главном генераторе паролей — собственной голове. Вещь незаменимая в хозяйстве, но иногда глючная. Один раз в жизни мы с другом уже придумывали пароль, глядя на вещи в комнате, смешивая названия. Нам казалось что не забудем никогда. Как назло этим паролем мы зашифровали rar-архив. Когда через пару месяцев нам понадобилось его расшифровать. Пароль вспомнился только чудом и путем невероятного мозгового штурма.

Вообще смешивать слова — хорошая идея. Если делать это вдумчиво, не спеша, подгоняя под себя, то можно получить действительно легкозапоминаемый, но трудноподбираемый пароль. Как раз для частого использования в качестве пароля на локальную систему или парольный менеджер. Именно, эти пароли обязаны не забываться.

Смешивать слова для получения пароля нужно не по слогам, или не всегда по слогам. Иначе такой пароль может подобраться по модифицированному словарю, полученному, путем перебора комбинаций слогов словарных слов. Такой словарь хотя и будет больше обычного, но количество слов в нем будет относительно невелико.

Так как пароли необходимо набирать быстро, чтобы никто не подсмотрел, можно потребовать от генератора паролей оптимизации для быстрого набора. Однако в перечисленных генераторах, такая опция мне не попадалась. Кроме того просто чередовать в пароле символы с разных сторон клавиатуры может оказать не всегда удобно.

Алгоритм грубой силы

«Данные — это новая нефть», это новая мантра, управляющая мировой экономикой. Мы живем в цифровом мире, и каждый бизнес вращается вокруг данных, которые приводят к прибыли и помогают отраслям опередить своих конкурентов. Благодаря быстрой оцифровке, экспоненциальному росту бизнес-модели, основанной на приложениях, киберпреступность представляет собой постоянную угрозу. Одним из таких распространенных действий, которые выполняют хакеры, является грубая сила.

Brute Force — это метод проб и ошибок, при котором злоумышленники используют программы, чтобы опробовать различные комбинации для взлома любых веб-сайтов или систем. Они используют автоматизированное программное обеспечение для периодической генерации комбинаций идентификаторов пользователей и паролей до тех пор, пока они в конечном итоге не создадут правильную комбинацию.

Поиск грубой силы

Поиск методом грубой силы является наиболее распространенным алгоритмом поиска, поскольку он не требует каких-либо знаний в предметной области, все, что требуется, — это описание состояния, юридические операторы, начальное состояние и описание состояния цели. Он не улучшает производительность и полностью полагается на вычислительную мощность, чтобы опробовать возможные комбинации.

Алгоритм грубой силы ищет все позиции в тексте между 0 и нм, независимо от того, начинается ли вхождение шаблона там или нет. После каждой попытки он смещает шаблон вправо ровно на 1 позицию. Временная сложность этого алгоритма составляет O (m * n). так что если мы ищем n символов в строке из m символов, тогда потребуется n * m попыток.

Давайте рассмотрим классический пример коммивояжера, чтобы легко понять алгоритм.

Предположим, что продавец должен путешествовать по 10 различным городам в стране, и он хочет определить кратчайшие возможные маршруты из всех возможных комбинаций. Здесь алгоритм грубой силы просто вычисляет расстояние между всеми городами и выбирает самый короткий.

Другим примером является попытка взломать 5-значный пароль, тогда грубая сила может занять до 10 5 попыток взломать код.

Сортировка грубой силы

В методе сортировки методом грубой силы список данных сканируется несколько раз, чтобы найти наименьший элемент в списке. После каждой итерации по списку он заменяет наименьший элемент на вершину стека и начинает следующую итерацию со вторых наименьших данных в списке.

Вышеприведенное утверждение может быть записано в псевдокоде следующим образом.

Здесь проблема имеет размер n, а основная операция — тест if, где элементы данных сравниваются на каждой итерации. Разница между наихудшим и наилучшим случаем не будет, так как значение свопа всегда равно n-1.

Сопоставление грубой силы

Если все символы в шаблоне уникальны, то сопоставление строк грубой силы может быть применено со сложностью Big O (n). где n — длина строки. Сопоставление грубой силы Строка сравнивает шаблон с подстрокой текстового символа за символом, пока не получит несоответствующий символ. Как только обнаруживается несоответствие, оставшийся символ подстроки удаляется, и алгоритм переходит к следующей подстроке.

Приведенные ниже псевдокоды объясняют логику сопоставления строк. Здесь алгоритм пытается найти шаблон P (0… m-1) в тексте T (0… .n-1).

здесь наихудший случай был бы, когда переход на другую подстроку не производился до сравнения М Th .

Ближайшая пара

Постановка задачи: выяснить две ближайшие точки в наборе из n точек в двумерной декартовой плоскости. Существует n сценариев, в которых возникает эта проблема. Примером из реальной жизни может служить система управления воздушным движением, где вы должны следить за самолетами, летящими близко друг к другу, и вы должны определить минимальное безопасное расстояние, которое должны выдерживать эти самолеты.

Алгоритм грубой силы вычисляет расстояние между каждым отдельным набором точек и возвращает индексы точки, для которой расстояние является наименьшим.

Грубая сила решает эту проблему с временной сложностью (O (n2)), где n — количество точек.

Ниже псевдокод использует алгоритм грубой силы, чтобы найти ближайшую точку.

Выпуклая оболочка

Постановка задачи : выпуклая оболочка — это наименьший многоугольник, содержащий все точки. Выпуклая оболочка множества s точки — это наименьший выпуклый многоугольник, содержащий s.

Выпуклая оболочка для этого набора точек представляет собой выпуклый многоугольник с вершинами в точках P1, P5, P6, P7, P3

Сегмент P1 и Pn набора из n точек является частью выпуклой оболочки тогда и только тогда, когда все остальные точки набора лежат внутри границы многоугольника, образованного отрезком линии.

Давайте свяжем это с резинкой,

Точка (x1, y1), (x2, y2) делает линию ax + by = c

Когда a = y2-y1, b = x2-x1 и c = x1 * y2 — x2 * y1 и делит плоскость на ax + на -c 0

Поэтому нам нужно проверить ax + by-c для других точек.

Грубая сила решает эту проблему с временной сложностью O (n 3 )

Исчерпывающий поиск

Для дискретных задач, в которых нет известного эффективного решения, становится необходимостью последовательно тестировать каждое возможное решение.

Исчерпывающий поиск — это деятельность, позволяющая систематически находить все возможные решения проблемы.

Давайте попробуем решить задачу коммивояжера (TSP), используя алгоритм полного поиска Brute.

Постановка задачи: есть n городов, по которым продавец должен путешествовать, он хочет найти кратчайший маршрут, который охватывает все города.

Мы рассматриваем Hamilton Circuit для решения этой проблемы. Если цепь существует, то любая точка может начинать вершины и заканчивать вершины. Как только начальные вершины выбраны, нам нужен только порядок для оставшихся вершин, т.е. n-1

Тогда будет (п-1)! Возможные комбинации и общая стоимость для расчета пути будут O (n). таким образом, общая сложность времени будет O (n!).

Вывод

Теперь, когда мы подошли к концу этого урока, я надеюсь, что вы, ребята, теперь получили четкое представление о том, что такое Brute Force. Мы также видели различные алгоритмы грубой силы, которые вы можете применять в своем приложении.

Рекомендуемые статьи

Это было руководство по алгоритму грубой силы. Здесь мы обсудили основные понятия алгоритма грубой силы. Вы также можете просмотреть наши другие предлагаемые статьи, чтобы узнать больше —

голоса
Рейтинг статьи
Ссылка на основную публикацию
Adblock
detector